北韩APT37组织的Dolphin后门攻击手法

重点内容

• APT37（又称ScarCruft、Red Eyes、Erebus和Reaper）与Dolphin后门攻击相关。
• Dolphin后门自2021年首次被识别以来，经历了多次升级，且利用Google Drive进行指挥和控制。
• 攻击者通过Dolphin后门获取受感染设备的各种信息，包括用户信息和系统细节。
• Dolphin后门具备扫描本地和可移动驱动器的能力，并可以盗取连接设备上文件。

APT37是一个与北韩相关的威胁组织，它的攻击手段主要集中在高度定向的攻击上。根据，APT37使用的Dolphin后门自2021年4月首次被发现以来，已经不断进化并开发出更先进的版本。ESET的研究人员发现，该后门利用GoogleDrive作为被盗文件存储的指挥和控制服务器，并通过修改Windows注册表来实现持久化。

在使用Dolphin后门的攻击中，攻击者还利用BLUELIGHT侦察工具，以便部署后门的Python加载程序。感染Dolphin的机器泄露了多种信息，包括用户名称、计算机名称、已安装的安全软件、内外网IP地址、RAM大小及使用情况、调试或网络数据包检查工具的存在以及操作系统版本等细节。此外，报告还显示Dolphin能够进行本地和可移动驱动器扫描，以窃取不同类型的文件。

根据最新数据，连接到被攻陷设备的手机同样可能被Dolphin后门盗取文件，这一过程通过Windows可移动设备API实现。

相关链接：
-
-

这种持续演变的威胁不仅对企业构成了风险，同时也提醒用户保持警惕，定期更新安全软件并增强网络安全意识。